Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Настольные межсетевые экраны. Руководство для покупателя

Майкл Дж. Димариа

Новое поколение межсетевых экранов обеспечивает контроль над приложениями и предотвращает несанкционированное изменение политики безопасности.

Если пользователь по электронной почте получит сообщение: “Мег Райан, принимающая солнечную ванну: чтобы посмотреть, дважды щелкни мышью” — с вложенным двоичным файлом и, поддавшись искушению, откроет этот файл, то в результате он инсталлирует программу типа “троянский конь”, позволяющую удаленно управлять его компьютером. Программные настольные межсетевые экраны (МЭ) препятствуют неавторизованному запуску Интернет-приложений, ограничивают набор доступных сетевых служб и защищают от “дыр” в ПО Microsoft Outlook.

Настольные МЭ служат двум целям. Во-первых, они устанавливают правила разграничения доступа для входящего и исходящего трафика, снижая вероятность проникновения “троянцев” в вашу сеть. Например, многие настольные МЭ дают вам возможность конкретно указать, каким программам разрешено устанавливать связь с Интернет. Однако эти МЭ не в состоянии удержать пользователей от инсталляции и запуска любых программ, как нужных, так и вредоносных. Если “троянец” попытается удалить каталог c:\winnt, настольный МЭ ему не помешает.

Во-вторых, настольные МЭ защищают пользователей внутрикорпоративной ЛВС друг от друга. Недовольный чем-либо служащий может попытаться взломать ПО начисления заработной платы и распространить по всей компании информацию о том, сколько получает ее руководство. Установка традиционных МЭ в каждой подсети позволяет решить эту проблему, но данный вариант является сложным и трудным в управлении.

Проблема выбора

Перед тем как выбрать настольный МЭ, определите, какая версия его вам нужна. МЭ корпоративного класса имеют дополнительные средства централизованного управления и распространения наборов правил политики безопасности. Компании InfoExpress, Sybergen Networks и Securitae продают централизованно управляемые МЭ. Другие поставщики, в том числе Internet Security Systems (ISS) и Zone Labs, предлагают версии МЭ как масштаба предприятия, так и потребительские. Если у вас всего несколько пользователей или если вам необходим МЭ только для одной машины, то потребительский МЭ — это то, что вам нужно.

Помните, однако, что конечные пользователи не должны иметь права модифицировать установки МЭ. В большинстве централизованно управляемых продуктов предлагаются способы защиты политики безопасности от несанкционированного изменения. Продукт BlackICE PC Protection фирмы ISS поддерживает, например, инсталляцию ПО без графического интерфейса.

Некоторые МЭ позволяют администратору обходить установленную политику безопасности. Так, Sygate Secure Enterprise Solution фирмы Sygate Technologies дает возможность делать исключения для отдельных пользователей. При применении других продуктов, в частности МЭ фирмы InfoExpress, пользователь может получать специальный пароль на случай, если ему понадобится временно открыть порт или отключить МЭ. Это особые случаи, и они, повторяем, должны быть санкционированы администратором.

После того как МЭ установлен, вам необходимо решить, какой объем информации должен иметь конечный пользователь, т. е. должен ли он получать предупреждения обо всех возможных атаках (и, как следствие, быть заваленным информацией), или его следует держать в неведении?

Некоторые МЭ шлют предупреждения всегда, в любой ситуации. Например, ZoneAlarm фирмы Zone Labs, который я использовал в свое время, регулярно сообщал, что мой маршрутизатор выполняет эхотестирование моей машины. Главное правило здесь — ограничьте уведомление пользователей только сообщениями о серьезных угрозах.

Два других соображения: большинство МЭ масштаба предприятия требуют наличия БД для файлов протоколирования. У вас есть лицензии на ПО и специалисты по СУБД MS SQL или Oracle? Нужен ли вам отдельный сервер БД, или вы можете установить базу данных на сервере управления политикой безопасности?

Кроме того, цены на эти продукты варьируются в довольно широком диапазоне. Большинство поставщиков при оптовых закупках предлагают скидки. Возможно, придется дополнительно заплатить за сервер управления. Еще вам понадобится выделить средства на эксплуатацию МЭ, обучение пользователей и на поддержку ПО.

Контроль над приложениями

Некоторые настольные МЭ обеспечивают только блокировку заданных портов и IP-адресов, однако лучшие из них предлагают дополнительные средства контроля над приложениями, позволяющие отлавливать “троянцев”. Троянцы” очень коварны: они могут посылать данные на удаленный сервер, используя порт 80 и протокол HTTP или любой другой стандартный протокол Интернет. Это означает, что блокировки на уровне портов недостаточно. Имея средства контроля над приложениями, вы можете указать программы, которым разрешен доступ в Сеть. Продукты с такими возможностями обычно обеспечивают в той или иной мере проверку целостности приложений.

Так, настольному МЭ можно “сообщить” контрольную сумму MD5 заведомо “чистого” исполняемого файла. Тогда, если пользователь попытается запустить модифицированную версию программы, например iexplore.exe с внедренным “троянским” кодом или вирусом, контрольные суммы не совпадут и МЭ откажет такой программе в доступе в Сеть. Отметим, однако, что подобная функция способна усложнить жизнь администратору, так как ему придется поддерживать список “одобренных” программ и соответствующих контрольных сумм.

Некоторые МЭ предлагают и другие функции контроля над приложениями. CyberArmor фирмы InfoExpress, в частности, позволяет вам управлять процессом запуска программ, т. е. вы можете установить, что файл-сценарий выполняется при запуске его из почтовой программы Eudora, но не из Outlook.

Однако даже при наличии контроля над приложениями “троянцы” способны внедряться в модули DLL или в уже выполняющиеся процессы. Проверка целостности DLL — вот над чем работают поставщики в настоящее время.





  
14 '2002
СОДЕРЖАНИЕ

бизнес

• Экономика контакт-центров

локальные сети

• Защита в два эшелона

• Инсталляция "темного" оптоволокна

• Технологии магнитных лент в цифрах и фактах

корпоративные сети

• Российские серверы на базе процессоров Intel

• Новые возможности удаленного управления

• Видеоконференц-связь через Интернет

• Epicor упрощает управление связями с заказчиками

услуги сетей связи

• Беспроводной рай?

защита данных

• Защитите ваш блокнотный ПК!

• Настольные межсетевые экраны. Руководство для покупателя

новые продукты

• Новые системы хранения данных фирмы "Форвард Технологии", ИБП-гиганты NeuHaus


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх